Informationssicherheit im Unternehmen effizient eingesetzt

Transkript

1 Informationssicherheit im Unternehmen effizient eingesetzt Dr. Keye Moser, SIZ GmbH Forum Rot, it-sa 2014, GmbH 2014 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

2 Unsere 175+ Mitarbeiter setzen seit 1990 Maßstäbe in Informationssicherheits- und ebanking-standards sowie seit 2010 auch im Beauftragtenwesen GmbH 2014, S. 2 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

3 Wir haben ein breites Produktportfolio zur Informationssicherheit und Notfallplanung Sicherer IT-Betrieb: "Trusted Product ISO Tool" Produktfamilie für den Aufbau und Betrieb von ISO konformen Informationssicherheits-Managementsystemen Sicherer Datenschutz Produktfamilie zur Unterstützung des Datenschutzbeauftragten Geschäftsfortführungsplanung / BCM und IT-Notfallplanung Dokumentationswerkzeug mit vorgefüllten Templates und automatisierten Verfahren S-CERT (Computer Emercency Response Team) Services zum Management von Schwachstellen und IT-Sicherheitsvorfällen Auditmodule für sicherheitsrelevante Themen enthalten: Checklisten zur Identifikation von Schwachstellen Bewertungsschema zur Risikoeinschätzung und Ergebnisdarstellung Sicherheitsleitfäden für gängige IT-Systeme GmbH 2014, S. 3 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

4 Unser Portfolio an Audit-Modulen deckt die wesentliche Umgebungen ab und wird kontinuierlich ausgebaut GmbH 2014, S. 4 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

5 Mit unserem Beratungsangebot decken wir alle wichtigen Bereiche der Informationssicherheit und der Notfallplanung ab Durchführung von Audits, Penetrationstests, Sicherheitsanalysen IT-Sicherheit IT-Risiko Beratung zum Einsatz / Härtung von Systemen Beratung zur Dienstleistersteuerung Aufbau /Optimierung Geschäftsfortführungsplanung / BCM und IT-Notfallplanung Konzeption und Durchführung von Notfallübungen Aufbau / Optimierung von Informationssicherheits- und IT-Risiko-Managementsystemen Zertifizierung von Informationssicherheits-Managementsystemen Langfristunterstützung des Informationssicherheits-Managements Outsourcing Datenschutzbeauftragter GmbH 2014, S. 5 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

6 Spielfeld und Spielregeln werden nicht durch die Informationssicherheit bestimmt oder gesteuert. Die Teams spielen nach eigenen Regeln! Team Hacker Bereicherung Spaß Spionage Team Unternehmer Reputation Marktnähe Wirtschaftlichkeit Team Regulator Gesetze, Vorgaben Nachvollziehbarkeit Prüfbarkeit GmbH 2014, S. 6 Besuchen Sie uns! it-sa 2014, Halle 12.0 / Team Anwender / Kunde Trendgetrieben (iphone, facebook, ) Einfachheit alles kostenlos

7 Dabei müssen Kosten, Nutzen, Anwendbarkeit und Risiken kontinuierlich austariert werden. Kosten Gesamtkosten Optimum Sicherheitsinvestition Verbleibende Risiken Bequemlichkeit GmbH 2014, S. 7 Besuchen Sie uns! it-sa 2014, Halle 12.0 / Sicherheit

8 Das Produkt Sicherer IT-Betrieb deckt diese Anforderungen an die Informationssicherheit ab Ganzheitlicher Ansatz zum Informationssicherheits- und IT- Risikomanagement IS-Lifecycle-Prozessunterstützung Nachschlagewerk für Gesetze, Normen, Compliance-Themen werkzeuggestützte Dokumentationsplattform Risikoorientierter Ansatz Harmoniert mit gängigen Standards wie ISO/IEC 27001:2013, CobiT, BSI Schichtenmodell, IDW, ITIL KPMG hat die Konformität in Bezug auf Cobit Security Baseline geprüft, Details siehe requestreport.aspx?30969 GmbH 2014, S. 8 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

9 Sicherer IT-Betrieb ist ein erprobtes System für das Informationssicherheits- Management Kontinuierliche Weiterentwicklung des Produkts und Aktualisierung der Inhalte seit über 10 Jahren Berücksichtigung der Änderungen aus Gesetzen, Standards, Technik und Best Practice Informationssicherheits-Management auf Basis Sicherer IT-Betrieb wurde inzwischen bei über 450 Unternehmen im In- und Ausland (Sprachen: Deutsch und Englisch) etabliert. Hierzu gehören: Unternehmen aus unterschiedlichen Branchen Rechenzentren Sparkassen, Banken und Landesbanken (öffentliche) Versicherungen (Finanz-)Dienstleister: Bausparkassen, Investmentges., Leasingges., GmbH 2014, S. 9 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

10 Sicherer IT-Betrieb ist ein Managementsystem, das Multi-Standard-Compliance effizient ermöglicht. Wirtschaftsprüfer Sicherer IT-Betrieb hat den Anspruch, mit seinen Inhalten und Vorgehensweisen alle Anforderungen an ein modernes, risikoorientierten Informationssicherheits- Managementsystem abzudecken. Die folgende Regelwerke werden in eigenen Sichten aufbereitet: ISO/IEC 2700x ISO/IEC 2700x CobiT ITIL V3 IDW Schichtenmodell BSI BaFin (insbesondere MaRisk) GmbH 2014, S. 10 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

11 "Sicherer IT-Betrieb" adressiert das Informationssicherheits-Management und seine Einbettung in die Gesamtorganisation GmbH 2014, S. 11 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

12 Informationssicherheits-Risiken treten nicht nur in der IT auf - ein ganzheitlicher Ansatz zu deren Reduzierung und Steuerung ist daher notwendig Organisatorische Maßnahmen Verantwortlichkeiten, Sensibilisierung, Gremien, Sicherheitsleitlinie,... Betriebsverfahren Change- und Releasemgmt., Incident- und Problemmgmt., Kapazitäts- und Verfügbarkeitsmgmt.,... Logische und technische Sicherheit Vertragsbeziehungen Systemzugang, , Malwareschutz, Netzwerke,... Outsourcing, Hersteller Zielvereinbarungen über Leistungen, Kunden,... Physische Sicherheit Gebäude, Brandschutz, Strom, Klima, Zutritt,... Notfallplanung Business Continuity, Notfallplan, Eskalationsprozesse, Notfallübungen,... ISMS-Schnittstellen IT- und Risikomanagement, Kontrollsysteme, Datenschutz,... GmbH 2014, S. 12 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

13 Sicherer IT-Betrieb zeigt nicht nur Was umgesetzt werden muss, sondern auch Wie der Prozess optimal realisiert werden kann GmbH 2014, S. 13 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

14 Unser erprobten und effizienten Lösungen führen Sie schnell zu einer Informationssicherheits-Baseline, die bedarfsgerecht ausgebaut werden kann Anforderungen: Gesetzes-Konformität Konformität zu relevanten Standards angemessene und erprobte Grundlage zur Zertifizierung praktikabel für den IT-Betrieb Optimierung der Sicherheit (optionale Maßnahmen) IT-Notfall (Planung/Test) IT-System- Audits Zertifizierung Penetrationstests Support für Interne Revision ISMS-Baseline: Sicherer IT-Betrieb BCM / BCP (Planung/Test) CERT Definition ISMS-Scope Inventar der IT-Werte Basis-Reports für IT-Risiken Maßnahmenplan ISMS-Prozess und Organisation Basis-Analyse der IT-Risiken Soll-Ist- Vergleich & Risiken GmbH 2014, S. 14 Besuchen Sie uns! it-sa 2014, Halle 12.0 /

15 Vielen Dank für Ihr Interesse! Dr. Keye Moser Diplom-Physiker, CGEIT, CISM Leiter Sicherheitstechnologie SIZ GmbH Simrockstraße Bonn Telefon: Telefax: Mobil: Keye.Moser@siz.de GmbH 2014 Besuchen Sie uns! it-sa 2014, Halle 12.0 /